Created by Unknown User (m.zvinyte@juridicon.lt), last modified by CPO on Oct 03, 2022
Duomenų apsaugos pareigūnas Allaw® informuoja
Norvegijos duomenų apsaugos priežiūros institucija skyrė 750 000 Norvegijos kronų (apie 71 000 Eur) baudą vienai Norvegijos ligoninių už tai, kad ši skyrė nepakankamą dėmesį ligoninės pacientų asmens duomenų saugumui užtikrinti. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė minėta ligoninė ir ko gali pasimokyti kiti duomenų valdytojai.
Į ką turi atkreipti dėmesį kiti duomenų valdytojai?
Kaip pažymėjo Norvegijos priežiūros institucija, ligoninė nebuvo sukūrusi prieigų kontrolės sistemos, bei nebuvo apsirašiusi prieigos prie asmens duomenų tvarkos ir jos įgyvendinusi, kas būtų padėję išvengti minėtų pažeidimų. Tyrima atlikusi institucija akcentavo, kad dokumentų valdymo sistemos turi įtraukti rutininius veiksmus, kurie skatintų ja besinaudojančius darbuotojus peržiūrėti saugomus duomenis ir periodiškai nereikalingus ištrinti bei specialių kategorijų asmens duomenims garantuotų tinkamą apsaugą.
Rekomenduojama ...
Todėl rekomenduojama kiekvienai įmonei:
būti atlikus duomenų apsaugos auditą,
peržiūrėti savo prieigos valdymo sistemas,
įsitikinti, kad prieigos suteikimo, atšaukimo procedūros yra aprašytos ir su šiomis procedūromis yra supažindinti darbuotojai,
būti tikriems, kad įmonės naudojamos sistemos leidžia sekti duomenų saugojimo laikotarpius ir primena apie jų pasibaigimą,
darbuotojams suteiktos prieigos teisės yra suteiktos remiantis "būtina žinoti" principu,
atnaujinti darbuotojų duomenų apsaugos žinias.
Už kokius pažeidimus skirta bauda?
Tyrimo metu buvo nustatyta, kad ilgą laikotarpį (2013-2019 metais) ligoninė išrašus iš pacientų ligos istorijų saugojo nesiėmusi pakankamų duomenų saugumo priemonių, ši situacija paaiškėjo ligoninei kreipusis dėl duomenų saugumo pažeidimo. Tuomet ir nustatyta, kad prieiga prie aplankų, kuriuose buvo saugomi išrašai, nebuvo kontroliuojama, išrašuose atliekami pakeitimai nebuvo fiksuojami. Taip pat šie dokumentai buvo saugomi neatsižvelgiant į nustatytą saugojimo laikotarpį ir tai, kad jie nebereikalingi tikslams pasiekti, t.y., pažeidžiant duomenų saugojimo trukmės apribojimo principą.
Tarp neapsaugotų dokumentų buvo paruoštų išrašyti iš ligoninės pacientų sąrašai, su specialių kategorijų asmens duomenimis, skaičiuojama, kad šiuose sąrašuose galėjo būti apie keturiolikos tūkstančių pacientų duomenų. Šie duomenys buvo prieinami 118 ligoninės darbuotojų, kurie neturėjo teisėto pagrindo tvarkyti šių asmens duomenų.
Sveikatos priežiūros sektorius: skirta bauda ligoninei dėl netinkamai saugomų asmens duomenų
Norvegijos duomenų apsaugos priežiūros institucija skyrė 750 000 Norvegijos kronų (apie 71 000 Eur) baudą vienai Norvegijos ligoninių už tai, kad ši skyrė nepakankamą dėmesį ligoninės pacientų asmens duomenų saugumui užtikrinti. Duomenų apsaugos pareigūnas Allaw paaiškina, kokius pažeidimus padarė minėta ligoninė ir ko gali pasimokyti kiti duomenų valdytojai.
Kaip pažymėjo Norvegijos priežiūros institucija, ligoninė nebuvo sukūrusi prieigų kontrolės sistemos, bei nebuvo apsirašiusi prieigos prie asmens duomenų tvarkos ir jos įgyvendinusi, kas būtų padėję išvengti minėtų pažeidimų. Tyrima atlikusi institucija akcentavo, kad dokumentų valdymo sistemos turi įtraukti rutininius veiksmus, kurie skatintų ja besinaudojančius darbuotojus peržiūrėti saugomus duomenis ir periodiškai nereikalingus ištrinti bei specialių kategorijų asmens duomenims garantuotų tinkamą apsaugą.
Todėl rekomenduojama kiekvienai įmonei:
būti atlikus duomenų apsaugos auditą,
peržiūrėti savo prieigos valdymo sistemas,
įsitikinti, kad prieigos suteikimo, atšaukimo procedūros yra aprašytos ir su šiomis procedūromis yra supažindinti darbuotojai,
būti tikriems, kad įmonės naudojamos sistemos leidžia sekti duomenų saugojimo laikotarpius ir primena apie jų pasibaigimą,
darbuotojams suteiktos prieigos teisės yra suteiktos remiantis "būtina žinoti" principu,
atnaujinti darbuotojų duomenų apsaugos žinias.
Už kokius pažeidimus skirta bauda?
Tyrimo metu buvo nustatyta, kad ilgą laikotarpį (2013-2019 metais) ligoninė išrašus iš pacientų ligos istorijų saugojo nesiėmusi pakankamų duomenų saugumo priemonių, ši situacija paaiškėjo ligoninei kreipusis dėl duomenų saugumo pažeidimo. Tuomet ir nustatyta, kad prieiga prie aplankų, kuriuose buvo saugomi išrašai, nebuvo kontroliuojama, išrašuose atliekami pakeitimai nebuvo fiksuojami. Taip pat šie dokumentai buvo saugomi neatsižvelgiant į nustatytą saugojimo laikotarpį ir tai, kad jie nebereikalingi tikslams pasiekti, t.y., pažeidžiant duomenų saugojimo trukmės apribojimo principą.
Tarp neapsaugotų dokumentų buvo paruoštų išrašyti iš ligoninės pacientų sąrašai, su specialių kategorijų asmens duomenimis, skaičiuojama, kad šiuose sąrašuose galėjo būti apie keturiolikos tūkstančių pacientų duomenų. Šie duomenys buvo prieinami 118 ligoninės darbuotojų, kurie neturėjo teisėto pagrindo tvarkyti šių asmens duomenų.
Pasitikrinti atotrūkio BDAR būklę
Perduoti peržiūrai prieigos suteikimo procedūros aprašą
Pasiteirauti dėl duomenų apsaugos audito
BDAR e-vedlys
BDAR atitikties portalas
Prieigų prie informacinių sistemų ir asmens duomenų valdymo tvarkos aprašas
Dažnai užduodami klausimai (DUK)
Teirautis dėl prieigos prie BDAR mokymų e-medžiagos
Sužinoti apie inovatyvią paslaugą duomenų apsaugos pareigūnas Allaw®
Palikti žinutę duomenų apsaugos pareigūnui Allaw®
Telefonu: 8-616 02000